“恶意软件签名”一词总是指字节的模式吗？

Question

我知道传统上恶意软件签名是程序中的字节模式。在阅读乔克斯·考特和埃利亚斯·巴克哈拉尼的“防病毒黑客手册”时，我发现作者将调用图和流程图在恶意软件检测中的使用归类为基于签名的检测形式。

调用图和流程图可以被认为是签名，这是公认的吗？如果是，那么恶意软件签名的一般定义是什么？

Answer 1

恶意软件代码中的字节模式没有必要表示签名。

一般来说，一个签名可以帮助我们根据恶意软件的特性来唯一地识别它。下面是定义恶意软件签名时考虑的特征。

• 基于网络的:这包括比较网络流量与已知的IOC(IP)，后者被归类为控制僵尸网络(受感染主机)的命令和控制服务器。例句:特洛伊木马
• 主机基础:这检查端口扫描通过网络，以增加足部感染其他主机。例:蠕虫
• 基于应用程序:这会检查程序中是否存在字符串，这些字符串可以执行权限提升、导致OS损坏、导入通常不需要的关键DLL。例:病毒

还有启发式检测，用于定义恶意软件的签名。

在上述检测方法的基础上，如果恶意软件发现了任何症状，则将其分为蠕虫、木马、启发式等主要的特征类型。